Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na Pocztę Polską administracyjną karę w wysokości 27 mln zł oraz na Ministra Cyfryzacji karę 100 tys. zł za przetwarzanie danych 30 mln obywateli z bazy PESEL bez odpowiednich podstaw prawnych. Przetwarzanie to miało miejsce w związku z organizacją tzw. wyborów kopertowych.
Gdy umowa kredytowa dobiega końca, bank ma prawo przetwarzać dane klienta, który zalega z płatnościami, pod warunkiem, że wcześniej skutecznie go o tym poinformuje i poczeka 30 dni. Naczelny Sąd Administracyjny potwierdził taką interpretację art. 105a ust. 3 Prawa bankowego.
Ujawnienie danych osobowych niezwiązanych z pełnieniem funkcji publicznej bez odpowiedniej podstawy przetwarzania było przyczyną nałożenia kary UODO na Polskie Radio Szczecin w wysokości ponad 56 tys. zł. Sprawa dotyczyła ujawnienia danych osobowych syna posłanki i braku procedur chroniących prawa bohaterów publikacji radiowych.
Kierowca autobusu, który żąda od pasażera podawania danych osobowych w postaci imienia i nazwiska, przetwarza dane osobowe. Przetwarzanie to musi być oparte na jednej z podstaw wynikających z RODO. Stanowisko to przedstawił Naczelny Sąd Administracyjny.
Bank nie może dalej przetwarzać danych osoby, która składała wniosek kredytowy, jeśli odmówiono jej udzielenia kredytu. Stanowisko to potwierdził Naczelny Sąd Administracyjny w wyroku z 13 lutego 2025 r. III OSK 6563/21.
Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę, podtrzymując stanowisko Prezesa UODO. Dotyczyło ono braku podstawy przetwarzania danych osobowych naukowców dotyczących szczepień przeciwko COVID-19 przez Centrum e-Zdrowia.
NSA podtrzymał administracyjną karę pieniężną wymierzoną Szkolne Głównej Gospodarstwa Wiejskiego za naruszenie ochrony danych, które doprowadziło do wycieku danych kandydatów na studia. W ocenie NSA uczelnia nie mogła zasłaniać się błędem pracownika.
Prezes Urzędu Ochrony Danych Osobowych nałożył dwie administracyjne kary pieniężne na Centrum Medyczne Ujastek Sp. z o.o. z Krakowa o łącznej wysokości 1 145 891,25 zł za zamontowanie kamer monitoringu wizyjnej w dwóch salach oddziału neonatologii niezgodnie z przepisami. Placówce medycznej zarzucono również brak zastosowania odpowiednich technicznych i organizacyjnych środków adekwatnych do ryzyka związanego z przetwarzaniem danych osobowych na kartach pamięci znajdujących się w tych urządzeniach. Szczegóły sprawy w artykule.
W wyroku z dnia 28 stycznia 2025 roku, Naczelny Sąd Administracyjny przyznał rację Prezesowi UODO, uznając, że numery ksiąg wieczystych stanowią dane osobowe, ponieważ umożliwiają identyfikację właścicieli nieruchomości. Orzeczenie to kończy kilkuletni spór w tej sprawie pomiędzy Prezesem Urzędu Ochrony Danych Osobowych a byłym Głównym Geodetą Kraju powstały w związku z ujawnianiem w serwisie Geoportal2 numerów ksiąg wieczystych. Jednocześnie podtrzymuje karę pieniężną w wysokości 100 tys. zł., jaką Prezes UODO nałożył w 2020 r. na GGK.
Jak wskazuje Prezes Urzędu Ochrony Danych Osobowych, jeden z banków nie zapewnił warunków, w których inspektor danych osobowych nie mógł działać w pełni niezależnie. W związku z tym PUODO nałożył karę w wysokości 261 918 zł. Dodatkowo, za zaniechanie uwzględnienia profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, na bank nałożono karę w wysokości 314 302 zł.
Bank nie może przetwarzać danych osobowych na zapas, tj. na wypadek ewentualnych przyszłych roszczeń ze strony byłego klienta. W ten sposób bank narusza podstawowe zasady minimalizacji i ograniczenia celu przetwarzania. Stanowisko to potwierdził Naczelny Sąd Administracyjny w sprawie dotyczącej Banku Millennium.
Błędy organizacyjne przy przebudowie strony WWW mogą prowadzić do wycieku danych osobowych. Rolą administratora jest uwzględnienie tego ryzyka i wdrożenie odpowiednich środków bezpieczeństwa danych osobowych. W ocenie Prezesa UODO obowiązku tego nie wypełniła spółka Panek, stąd kara pieniężna w wysokości ponad 1,5 mln zł. Ukarany został także procesor świadczący na rzecz spółki usługi IT.
Nieprawidłowości w zakresie analizy ryzyka RODO i środków bezpieczeństwa danych nie zwalniają z odpowiedzialności za naruszenie ochrony danych, nawet jeśli jego współprzyczyną był błąd pracownika. Na stanowisku takim stanął Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę Szkoły Głównej Handlowej w Warszawie na decyzję w sprawie kary w wysokości 35 tys. zł.
Zakaz wyświetlania fałszywych reklam (deepfake) na Facebooku i Instagramie podtrzymany przez Wojewódzki Sąd Administracyjny w Warszawie. Zażalenie Meta – właściciela portali społecznościowych - zostało oddalone. Poniżej przybliżamy kulisy rozstrzygnięcia sądu.
Omyłkowe udostępnienie dokumentacji medycznej nieuprawnionej osobie może rodzić ryzyko naruszenia praw lub wolności pacjenta. Niezgłoszenie takiego naruszenia ochrony danych z dużym prawdopodobieństwem skończy się karą pieniężną, o czym zresztą przekonał się jeden ze szpitali.
Najnowszy wyrok Naczelnego Sądu Administracyjnego potwierdza, że adres IP i identyfikatory plików cookies nie stanowią automatycznie danych osobowych, lecz wymagają indywidualnej oceny w świetle art. 4 pkt 1 RODO oraz motywów 26 i 30 RODO. NSA podkreślił, że kluczowe znaczenie ma możliwość identyfikacji osoby z wykorzystaniem wszystkich „rozsądnie prawdopodobnych” środków oraz to, czy administrator faktycznie dysponuje technicznymi i prawnymi sposobami powiązania IP lub ID cookies z konkretną osobą fizyczną.
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
Masz problem związany z ochroną danych osobowych? Napisz do nas i dowiedz się, jak powinieneś postąpić. Nasz ekspert odpowie na wszystkie Twoje pytania.
Zadaj pytanie ekspertowi »Zadawaj pytania na żywo, prowadź dyskusję i rozwiąż swoje problemy związane z ochroną danych osobowych.
Sprawdź kiedy »Nasi eksperci przygotują dokumentację ODO zgodną z Twoimi potrzebami
© Portal Poradyodo.pl
